コンテンツ提供:株式会社ネットワールド
高度化するサイバー攻撃に立ち向かうためには、VMware Carbon Black CloudのようなEDR(Endpoint Detection & Response)による可視化と迅速な隔離が欠かせません。しかしEDRは導入して終わりではなく、正しい運用がなされて真価を発揮します。本記事では、実際にVMware Carbon Black Cloudを活用している成城大学 五十嵐 一浩 氏と、セキュリティ診断、運用、教育など企業向けのサイバーセキュリティ関連サービスを提供する株式会社AGEST 綿引 淳 氏の対談を通して、運用負荷を軽減しながら、EDRの正しい運用を実現するためのポイントを探ります、聞き手は、株式会社ネットワールド 工藤 真臣 氏が務めます。
五十嵐 一浩 氏
成城大学
メディアネットワークセンター
課長
綿引 淳 氏
株式会社AGEST
サイバーセキュリティ事業本部
サイバーセキュリティ部 部長 兼
サイバーセキュリティ
オペレーションセンター長
工藤 真臣 氏
株式会社ネットワールド
ソリューションアーキテクト
目次
- VMware Carbon Black Cloudが成城大学のセキュリティ強化に貢献
- 導入して分かった VMware Carbon Black Cloudのメリットと意外な課題
- EDRが真価を発揮するには運用が大事
- ユーザーのEDR運用負荷を軽減する 専門家集団によるマネージドサービス
- セキュリティはコストではなく、未来のための投資
- MDRサービスとVMware Carbon Black Cloudについてさらに詳しく
VMware Carbon Black Cloudが成城大学のセキュリティ強化に貢献
対談の本編に入る前に、前提となる成城大学へのVMware Carbon Black Cloud Endpoint(以下VMware Carbon Black Cloud)の導入について、簡単にご紹介します。先進的なIT環境を有する同大学ですが、ゼロトラストの実現にあたり、ネットワーク内に侵入した脅威の存在や攻撃プロセスなどを明確に証明できないという課題を抱えていました。またテレワークの普及に伴い、職員が利用するデバイスの情報セキュリティを確保する必要もありました。このような課題を解決するソリューションが、脅威の検知と迅速な対処を実現する、EDR(Endpoint Detection & Response)です。
実は、同大学はすでに別のEDR製品を導入していましたが、データの収集や分析に時間が掛かることや、使い勝手が良くないなどの問題を抱えていました。そこで新たに白羽の矢が立ったのが、VMware Carbon Black Cloudです。 VMware Carbon Black Cloudは2021年4月より本番稼働を開始し、大学の事務業務で利用されるPC約160台を監視しています。その結果、端末の挙動や操作をすべて可視化することで、的確な状況把握と脅威対応を実現することができました。また、リモートからの調査・検索やマルウェア感染端末の遮断が可能になり、職員に安全なテレワークを提供することにも成功しました。VMware Carbon Black Cloudの導入にあたっては、ネットワールドがパートナー企業として、PoC(概念検証)から本番運用まで、全面的に同大学をサポートしています。
導入して分かった VMware Carbon Black Cloudのメリットと意外な課題
工藤 元々他のEDRを利用されていたとのことですが、今回のVMware Carbon Black Cloudの導入でどのような点が改善されたのでしょうか。
五十嵐 VMware Carbon Black Cloudの良さとして実感するのは、まずクラウド型のサービスなので管理サーバーの運用が不要になることですね。オンプレミス型の製品はリソースも消費しますし、何か管理しようとすると、その度に管理サーバーを立ち上げて自前で運用しなければなりません。VMware Carbon Black Cloudでは、そういった煩雑さが一切ないのが良いです。
工藤 そうですね。運用面に加え、守るべきプラットフォームとデータ分離されていることも、クラウド型EDRの重要な特徴だと感じました。たとえば最近ではVMware ESXiを狙ったランサムウェアも出てきていますが、同じインフラ上にEDRが存在しても効果的な防御ができません。その点でもVMware Carbon Black Cloudは良いですね。他にはどんなメリットを感じていますか?
五十嵐 VMware Carbon Black Cloudは通知連携の設定が柔軟です。脅威度に応じて、一定のレベルを超えたものについては、Slackに通知して対処するといった設定が簡単にできます。またLive Queryの機能などを使って、OS部分も含めて簡単に調査できるところも気に入っています。そして可視化の機能が秀逸です。どんな攻撃がされているかグラフィカルに可視化することで、高度な専門知識を持たないメンバーでも、掘り下げた調査や対策の検討が可能になります。管理者の好奇心をくすぐるような仕掛けになっているので、とても気に入っています。
工藤 逆にVMware Carbon Black Cloud導入時と、実際の運用でのギャップはありますか?導入時には気付かなかった、苦労した点があればお聞かせください。
五十嵐 実はPoCの段階で、ネットワールド社にも協力していただき綿密な検証を行なったので、本番運用開始時での苦労はほとんどありませんでした。ただPoC時は、軽微なアラートが大量に発生して悩まされました。また些細な作業でアラートが発生することもあります。例えば、メモ帳からグローバル IP を持つIPP(Internet Printing Protocol)プリンタへ印刷しようとすると、想定外の通信と判断され、脅威レベルの高いアラートが通知されます。ネットワールド社のような専門家の力を借りないと、適切な通知レベルや対処すべき脅威度の判断が難しいと感じました。
成城大学 五十嵐 一浩 氏
EDRが真価を発揮するには運用が大事
工藤 確かにEDRを正しく運用するには、その線引きがすごく難しいですよね。EDRを導入したのに、頻繁なアラートや隔離のせいで業務が止まってしまっては本末転倒です。EDRでは、どこまで対策を徹底するべきかよく議論になりますが、その点についてはいかがでしょうか。
綿引 実は「ここまでやればOK」という線引きはありません。というのも、サイバー攻撃は24時間365日止まりませんし、逆に皆さんが寝静まっている時に攻撃が活発化することもあります。さらにサイバー攻撃は日々進化を続けていて、サイバー犯罪者とセキュリティの専門家との間でいたちごっこが続いています。監視は24時間終わることがありませんし、対策を緩めるわけにもいきません。ユーザーだけでEDRを運用するのは、スキルや労力の観点から、現実的には難しいと感じています。
工藤 記録するだけではなく、警備会社のようにちゃんと見張っている人がいて、初めてEDRが真価を発揮するということですね。一方EDRがしっかり運用できていれば、その他のセキュリティ対策は不要になるという誤解もありますが、その点についてはいかがでしょうか。
綿引 正直、EDRだけでは全てカバーすることは難しいです。というのも、侵入後、横方向への展開に成功してしまうと、以降の操作は手動で行われるため、EDRでは検知しづらいこともあるからです。そのためネットワークやサーバなども含めて監視するXDR(Extended Detection and Response)などのソリューションが登場していますし、侵入者のイレギュラーな動きを検知する仕組みも必要になってきます。もちろん多重で防御することで、そもそも侵入しづらくすることが重要です。
工藤 侵入されたら初動の90分での対処が明暗を分けると言われていますが、その分を時間稼ぎすることが重要ですね。つまりEDRがあっても、ファイアウォールの設定やOSのアップデートは欠かせないということですね。
綿引 はい。泥棒が複数の鍵がある家に入りたがらないように、侵入者にとってのハードルを高くすることが、サイバー攻撃から身を守る上で重要です。ただ、対処するためには、侵入の最前線であるエンドポイントで、何が起きているか明らかにする必要があります。EDRの導入は必須で、そのうえで複数の対策を実施する必要があります。
株式会社AGEST 綿引 淳 氏
ユーザーのEDR運用負荷を軽減する 専門家集団によるマネージドサービス
五十嵐 しかし、その全てをユーザーが実施するのは大変ですよね。本学職員の本来の職務は大学事務なので、IT関連の業務はどうしても少人数で運用せざるを得ません。しかも管理すべき箇所は、エンドポイントからネットワーク、サーバーまで多岐にわたります。侵入対策を徹底するには、毎日徹夜するしかありません。また、それぞれの領域ごとに管理がサイロ化してしまいがちで、大学のシステム全体を統合的に管理する難しさも感じています。OSのパッチ適用などの対策は頻繁に行っていますが、もしかしたらサイロ毎に統制が甘い箇所が出て、対策に抜け穴が生じているかもしれません。そうなると、人手や監査の面で、第三者に手伝ってほしいという気持ちになりますね。
工藤 限られたリソースの中でもセキュリティを強化するには、第三者によるマネージドサービスを活用するのも手かもしれませんね。株式会社AGESTはMDR(Managed Detection & Response)サービスを提供していますが、詳しく教えていただけますか。
綿引 はい、弊社のMDRサービスは、VMware Carbon Black Cloudをベースに独自の分析基盤と組み合わせたもので、専門家集団によるSoC(Security Operation Center)が運用しています。24時間365日休まず、エンドポイントの監視と侵入時の隔離を提供しています。この他、マルウェアの駆除、脆弱性対策、複数のログを突き合わせた相関分析、脅威度の高いアラートについてのレポーティングなどを、一気通貫のサービスとして提供しています。
工藤 料金体系がシンプルなのが特徴的ですね。細かくメニューが分かれているサービスと比べると対照的です。これはどんなユーザーでも、必要となるサービスは同じだからでしょうか?
綿引 それもありますが、分かりやすさを重視しています。ただでさえセキュリティ製品は難解なのに、サービスまで分かりにくいと、お客様が検討する際の妨げになります。何かしようとすると、すぐオプション扱いになるのも嫌じゃないですか(笑)そこで分かりやすく、一つのパッケージにしています。
工藤 先ほど初動の90分が大事という話をしましたが、AGESTのMDRサービスでは60分以内に初動対応を行うそうですね。
綿引 はい、弊社は24時間365日、常に60分以内に隔離まで行います。隔離すれば、情報漏洩や横方向への攻撃、ランサムウェアの動きを封じ込めることができます。その後、翌営業日までに根本的な対策を実施する流れになります。
五十嵐 侵入されたシステムの隔離は、ユーザーとの合意の下に行われるのでしょうか?
綿引 そうです。時間帯や端末毎に、細かくポリシーを設定できるので、たとえばサーバーの隔離は必ず担当者の承認が必要、クライアントであれば承認なしで自動的に隔離を行うといった設定が可能です。時間帯や担当者の休日も考慮した、柔軟な定義ができるようになっています。
工藤 柔軟な設定ができるのは、運用負荷を軽減する上で重要ですね。実際のところ、隔離が必要なほど深刻な被害は、どのぐらいの頻度で発生しているのでしょうか。
綿引 平常時と、サイバー犯罪者の攻撃が活発化している時期とで、だいぶ差があります。弊社では60万台ほどのシステムを監視しているのですが、レポート提出が必要なほど脅威度が高いインシデントは月間20~40件ぐらいです。実際に隔離するのは、このうち20%程度です。一方、今年の2〜4月にかけてEmotetというマルウェアが猛威を振るいましたが、その際はインシデント数が通常の40倍に跳ね上がりました。
工藤 40倍とはすごいですね。ここ数年でサイバー攻撃の深刻性や規模の広がりが明らかになり、セキュリティ対策がよく議論されるようになりました。それまでは自社には関係ないと思っているユーザーが多かったように思います。
綿引 ところがPoCでEDRを導入してみると、過去の攻撃の痕跡などがボロボロ出てくるんですよね。自分たちは安全だと思っていたのが、実は見えていないだけで、本当は攻撃を受けているケースが非常に多いです。
工藤 一度、自社のセキュリティについて棚卸しをしてみるのが良いかもしれませんね。どういった棚卸が有効だったりするのでしょうか?
綿引 弊社は、MDRとは別にレッドチームサービスによるアセスメントを提供しています。これは、実際のサイバー攻撃を想定した演習で、専門家チームによる模擬攻撃を行います。そして、侵入の影響度や、対策が必要な箇所などについてアドバイスをさせていただいています。例えば「ある箇所のログが取れていないと、実際に侵入が起こったときに、何が流出したか分からないので、対策しましょう」といった具合です。
工藤 セキュリティ対策が必要な領域は広大なので、優先順位に悩むユーザーは多いと思います。専門家でないと、本当に投資対効果が良い施策がどれか判断するのは難しいので、こういった外部サービスを利用するのが効率的ですね。
株式会社ネットワールド 工藤 真臣 氏
セキュリティはコストではなく、未来のための投資
工藤 しかしセキュリティ対策の必要性を認識したとしても、実現する体制を作るのが難しいです。特に、必要なコストを捻出するのに苦労している担当者は多いと聞きますが、どう経営層を説得すれば良いでしょうか。
綿引 私自身はよく「セキュリティはコストではなく、未来の成長に向けた投資です」という話をしています。経営層を説得するには、事例をいくら用意しても納得してもらえないことが多いので、業界毎に、成長戦略と絡めたポジティブなストーリーを立てて啓蒙活動していくしかないと考えています。
五十嵐 ユーザーの立場としては、ある程度自分の中で答えを持っています。私たちは学校法人ですが、弊学を選んでくれた学生・教員には、安心安全なITを使って研究や教育活動をしてほしいと願っています。しかし、サービスに瑕疵があれば、全体の価値を損なうことになります。セキュリティインシデントが発生して、対策が後手後手になってしまうと、データやシステムの被害にとどまらず、ブランドの毀損、風評被害など長期的な損害をもたらします。事業に明るい未来をもたらすには、ある程度予算を投じて、何も起きない安全な状態を保つことが必要です。それは、何もしていないのではなく、様々な担当者や専門家の努力の結晶であることを、多くの経営者に認識してほしいと思っています。
工藤 未来への投資という意味では、将来の損害を防ぐことも重要ですね。特にエンドユーザーと直接関わる事業では、安全性の確保は非常に重要だと思います。本日はありがとうございました。
MDRサービスとVMware Carbon Black Cloudについてさらに詳しく
ネットワールドがAGEST社との協業で提供する「DH-MDRサービス for VMware Carbon Black」やVMware Carbon Black Cloudについて詳しくは次の資料をご覧ください。
24時間365日体制でセキュリティ運用を支援する「DH-MDRサービス for VMware Carbon Black」
ネットワールドがAGEST社との協業で提供する「DH-MDRサービス for VMware Carbon Black」は、EDR製品特有の運用負荷を大幅に軽減します。インシデント発生時には監視チームによる迅速な初期対応および再発防止支援で被害を最小限に抑え、お客様のEDR運用体制を支えるセキュリティサービスです。
※株式会社ネットワールドが運営する VMware Cloud Frontier by Networld のダウンロードページに移動します
VMware Carbon Black Cloudのすべて 徹底解説!
VMware Carbon Black Cloudが他のセキュリティ製品と比較してどのような強みがあるのかをはじめ、VMware Carbon Black Cloud Endpointで提供される3エディションの使いどころを幅広く網羅した「VMware Carbon Black Cloudを最初に知る方向け」の入門編資料となっております。
※株式会社ネットワールドが運営する VMware Cloud Frontier by Networld のダウンロードページに移動します